Bromure Agentic Coding

Deixe seu agente de IA
agir livremente — com segurança.

Rode o Claude Code, o Codex e o próximo agente de programação dentro de uma VM Linux que compartilha apenas as pastas que você escolhe. Tudo o que eles baixarem, instalarem ou quebrarem fica dentro da VM.

Baixe o Bromure Agentic Coding agoraApple Silicon (M1 ou posterior) · Gratuito e Código Aberto

Bromure Agentic Coding running Claude in an isolated VM with the Trace Inspector

Agentes de programação agora estão rodando no seu laptop.

Claude Code e Codex puxam pacotes, rodam scripts, sobem servidores e executam o que o modelo decidir que é útil. Esse é o ponto. Mas cada npm install, cada pip install, cada curl | bash que eles rodam pousa no seu SO host — ao lado das suas chaves SSH, do seu gerenciador de senhas, do seu iCloud e de todo o resto do seu trabalho.

Uma única dependência typosquattada, um script envenenado ou um agente confuso pode silenciosamente exfiltrar um token, soltar um launch agent ou apagar um diretório. O agente não é malicioso; ele apenas tem acesso equivalente a root na sua máquina real. Esse é um raio de impacto que ninguém assinou embaixo.

Mova o agente para dentro de uma VM.

O Bromure Agentic Coding dá a cada desenvolvedor uma máquina virtual Linux que compartilha apenas as pastas que ele escolhe. O Claude ou o Codex rodam dentro da VM. Eles enxergam seu repositório por um mount compartilhado; eles não enxergam seu diretório home, sua keychain nem o resto do seu disco.

Instale o que o agente precisar — pacotes de sistema, toolchains de linguagem, builds experimentais meio quebradas. A VM é o ambiente de trabalho do agente, não o seu laptop. Quando alguma coisa sai dos trilhos, você reseta a VM e começa de novo. Seu host fica imaculado.

As pastas compartilhadas são montadas ao vivo nos dois sentidos, então você continua editando no Cursor, VS Code ou Xcode no macOS enquanto o agente trabalha na VM. Você salva no seu editor e o agente vê a mudança na hora; o agente reescreve um arquivo e o seu editor pega — os mesmos arquivos, duas visões, sem sincronização, sem dança de checkout.

~/projects/my-app

$ bromure code --share ./

→ launching VM (clone of base image)…

→ mounting ~/projects/my-app at /workspace

→ proxy ready · ssh-agent forwarded · tracer on

→ ready in 3.2s

vm:/workspace

$ claude

→ npm install ✓

→ git push ✓ (token swapped at proxy)

→ host ~/.ssh: not visible · keys never left Mac

Intermediação de credenciais

O agente funciona, os segredos ficam em casa.

Um agente que não consegue fazer push para o GitHub, puxar de um registry privado ou abrir SSH em um servidor de build não é útil. A resposta ingênua é jogar seus tokens de longa duração e chaves SSH dentro da VM. Aí a próxima dependência typosquattada lê tudo isso e sai com a sua organização.

O Bromure inverte isso. A configuração dentro da VM vem com stubs — tokens bearer falsos, chaves de API falsas — que parecem reais para o git, o gh, a CLI do seu provedor de modelo, seu registry privado e qualquer outra coisa que espere um header Authorization. Um proxy no seu Mac fica na frente de cada conexão que sai da VM, reconhece o stub, troca pelo segredo real na linha e encaminha a requisição. O valor real nunca é escrito em um arquivo que a VM possa ler, nunca fica em uma variável de ambiente que a VM possa despejar, nunca é paginado em uma memória que a VM possa raspar.

Stubs entram, tokens reais saem

Configure o GitHub, seu provedor de modelo, npm, AWS, seu registry interno — o que o agente precisar — uma vez, no host. A VM ganha stubs que satisfazem as expectativas de cada ferramenta. O proxy no host substitui pelo bearer real conforme a requisição cruza a fronteira do hypervisor. Um pacote que captura variáveis de ambiente, lê ~/.netrc ou despeja a memória sai com placeholders.

ssh-agent encaminhado, nunca exposto

O ssh-agent roda no seu Mac com as chaves no Keychain do macOS. O Bromure encaminha apenas o socket do agente para dentro da VM, do jeito que o OpenSSH sempre pretendeu. Dentro da VM, ssh e git funcionam de forma transparente — mas não há arquivo de chave em disco, sem passphrase em memória, nada para uma dependência comprometida roubar. Fechou a sessão, o canal fecha.

Um pacote envenenado pode apagar o sistema de arquivos da VM. Ele não pode levar sua organização do GitHub. Não pode pivotar para sua infraestrutura de build. Não pode drenar sua conta da AWS. O raio de impacto é a VM, e a VM é descartável.

Liberação por aprovação

Um clique entre o agente e seus segredos.

Stub-and-swap conta só metade da história. Os tokens reais continuam existindo em algum lugar — eles só estão no seu Mac, atrás do proxy, em vez de dentro da VM. Isso é uma melhoria enorme quando a ameaça é malware na VM. É menor quando a ameaça é malware no próprio laptop: um update com backdoor, uma extensão de navegador comprometida, um processo que já tem execução de código local. Qualquer coisa capaz de falar com o proxy poderia, em princípio, pedir um token real a ele.

Por isso o Bromure adiciona um passo explícito com humano no circuito na frente das credenciais que você marca como sensíveis. Quando alguma coisa — o agente, uma CLI que você digitou ou um processo que você não digitou — tenta usar um desses tokens através do proxy, o Bromure aparece no seu Mac, nomeia a credencial e o destino, e pergunta. Você aprova por cinco minutos, uma hora, o restante da sessão ou só essa requisição. Passada a janela, fica trancado de novo.

Aprovação com prazo

Escolha o TTL na hora de aprovar. Cinco minutos para um único push. Uma hora para uma sessão de release focada. Uso único para as realmente assustadoras — um deploy em produção, uma rotação de segredo, uma migração destrutiva. A liberação expira sozinha, então você não fica com o `aws sso login` escancarado pelo resto do dia.

O malware local perde o trunfo

Se um processo rodando no seu Mac tenta fazer push para o seu container registry, se passar por você no GitHub ou drenar uma conta na nuvem, ele não consegue. As credenciais não estão em disco para serem lidas, e o proxy que as guarda só libera uma quando o humano em frente à tela clica em aprovar. Execução de código no seu laptop deixa de ser suficiente para agir em produção.

Tokens de longa duração viram momentos de acesso. Mesmo que o seu laptop esteja comprometido de ponta a ponta, um atacante ainda precisa passar por você para fazer qualquer coisa que importe.

Por que rodar agentes em uma VM Bromure

Raio de impacto contido

Um pacote mal comportado, um script de pós-instalação envenenado ou um agente que decide rodar um rm -rf só consegue tocar o que está dentro da VM. Seu diretório home, suas chaves e seu iCloud ficam do outro lado de uma fronteira de hypervisor.

Sem credenciais reais lá dentro

A VM vem com tokens-stub. Um proxy no host troca por bearer real na linha quando uma requisição sai da VM, e o ssh-agent roda no seu Mac com apenas o socket encaminhado para dentro. Um pacote que captura variáveis de ambiente ou lê o disco encontra placeholders, não segredos.

Cada ação registrada

O Bromure rastreia a sessão inteira — prompts, respostas do modelo, chamadas de ferramenta, comandos de shell, edições de arquivo — em tempo real. Abra o trace depois, pesquise nele, entregue a um revisor, anexe ao pull request. Rastreabilidade vem de graça.

Edite no macOS, lado a lado

As pastas compartilhadas são ao vivo nos dois sentidos. Continue usando Cursor, VS Code ou Xcode no host — o agente reescreve um arquivo na VM, seu editor pega; você salva no seu editor, o agente vê na hora. Os mesmos arquivos, duas visões, sem sincronização.

Tracer de sessão

Veja exatamente o que o agente fez.

Um agente de programação toma centenas de decisões por sessão. A maioria delas você nunca vê — passam batido em uma chamada de ferramenta que você não leu com atenção, ficam resumidas em uma única linha ou acontecem entre duas mensagens que você estava só passando o olho. Tudo bem até alguma coisa quebrar. Ou até você precisar explicar a um revisor, a um colega ou a um auditor o que o modelo de fato mudou.

O Bromure registra a sessão inteira em tempo real: cada prompt, cada resposta do modelo, cada invocação de ferramenta, cada comando de shell, cada arquivo escrito. Abra o trace depois, pesquise nele, entregue a outra pessoa, anexe a um pull request. O agente trabalha rápido; o registro é paciente.

Bromure Trace Inspector showing every API call made by the agent

Captura completa do diálogo

Prompts, completions, chamadas de ferramenta, comandos de shell, edições de arquivo, códigos de saída — capturados ao vivo enquanto a sessão roda. Nada é reconstruído a partir do scrollback; nada é perdido quando você fecha o terminal.

Replicável, revisável, atribuível

Percorra o raciocínio e as ações do agente, veja exatamente o que foi instalado e por quê, e transforme "simplesmente funcionou" ou "simplesmente quebrou" em algo que você consegue mostrar para outro humano.

Quando o agente funciona, o trace é o seu rastro de papel. Quando não funciona, é o seu relatório de bug.

Traga o seu próprio agente.

O Bromure Agentic Coding não substitui sua tooling — ele dá a ela um lugar seguro para rodar. A VM já vem com os runtimes que a maioria dos agentes espera, e você instala o resto.

Claude Code

O agente de programação por terminal da Anthropic roda nativamente dentro da VM. Autentique uma vez e deixe ele puxar dependências, rodar testes e refatorar contra o repositório compartilhado.

Codex

O agente de programação da OpenAI instala da mesma forma que instalaria em qualquer máquina Linux — exceto que esta máquina Linux não consegue enxergar seu diretório home.

Qualquer outra coisa

Aider, OpenHands, agentes internos customizados — se rodar em Linux, roda no Bromure. A VM é só uma máquina Linux; a segurança vem de onde ela vive.

Como funciona

1. Escolha suas pastas

Quando você cria a VM, escolhe quais pastas no seu Mac ela pode montar — normalmente o projeto em que está trabalhando. Essa é a visão completa que o agente tem do seu sistema de arquivos.

2. Inicie a VM

O Bromure sobe uma VM Linux em alguns segundos usando o Apple Virtualization.framework. Abra um terminal nela como faria em qualquer máquina remota.

3. Rode o agente

Instale o Claude Code ou o Codex dentro da VM. Aponte para a pasta compartilhada. Deixe ele trabalhar — instalar pacotes, rodar scripts, criar processos — sem nunca tocar no seu host.

4. Resete quando quiser

Quando o estado da VM deixa de ser útil, jogue fora. Comece zero em segundos. Seu código está no host; a bagunça fica na VM.

VM vs container

Por que não usar só um contêiner?

Quatro motivos.

Kernel compartilhado

Contêineres compartilham um kernel com o seu host. Um pacote ruim o suficiente, um bug de kernel ou um mount mal configurado, e a fronteira já era. Contêineres foram feitos para isolar workloads, não para defender contra as coisas que você está rodando ativamente dentro deles.

Imutável, não interativo

Imagens de contêiner são construídas uma vez e congeladas. Um agente de programação interativo — instalando pacotes, ajustando configs, recompilando ferramentas o dia inteiro — briga com esse modelo o tempo todo. Cada mudança quer uma rebuild. O diretório home mutável que você monta para tornar o fluxo tolerável vira o ponto fraco que o resto da imagem deveria proteger.

Não rodam de fato no macOS

Docker no Mac não está rodando contêineres de verdade — está rodando dentro de uma VM Linux escondida que vem com o Docker Desktop. Você já está pagando o custo da VM, só sem ver. O Bromure corta a camada do meio: uma VM, visível, configurável e sua.

Não dá para manter os segredos do lado de fora

Para um contêiner ser útil com git, gh, kubectl, aws ou npm, você acaba montando ~/.ssh, ~/.kube/config, ~/.aws/credentials, ~/.npmrc e o seu token do GitHub para dentro — seus segredos reais, em um sistema de arquivos que o agente consegue ler. O Bromure inverte a lógica. A VM recebe stubs que parecem credenciais reais para cada ferramenta; um proxy do lado do host os reconhece e os substitui no fio pelo token real do GitHub, pelo bearer do kubeconfig, pelas credenciais da AWS ou pela senha do registry no momento em que a requisição sai. As chaves SSH ficam na Keychain do macOS — só o socket do ssh-agent é encaminhado para dentro. Um contêiner não tem equivalente sem reinventar o modelo de confiança do zero.

Uma VM tem seu próprio kernel, sua própria memória, seu próprio sistema de arquivos. Você instala o que quiser, do jeito que faria em qualquer máquina Linux, e segue fazendo isso o dia inteiro. O Virtualization.framework da Apple deixa o custo baixo o bastante para não haver motivo para se contentar com menos.

Dê ao seu agente uma oficina de verdade.

Uma VM. Isolamento total. Instale qualquer coisa. O Bromure Agentic Coding é gratuito e de código aberto.